GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 16

changes.mady.by.user Takeshi Nishimura

保存しました

次と比較

新しいバージョン 17

changes.mady.by.user Yoshiaki Kawano

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

サーバ証明書の取得とApacheの設定

...

 

1.「UPKI電子証明書発行サービス」の利用管理者編をご覧いただき、サーバ証明書発行を申請します。機関の審査手続きによっては証明書の交付までには数日を要する場合がありますので、お早めに申請してください。
接続実験をするだけであれば、IdPインストール時に作成された証明書(自己署名証明書)をそのまま利用してテストフェデレーションに参加することも可能です。その場合は、以降の記述のうち「中間CA証明書」の部分は無視してください。

...

title実習セミナー

...

2.入手したサーバ証明書をもとに、以下のファイルに設定してください。(★)

■/etc/httpd/conf.d/ssl.conf

...

title実習セミナー

...

...

※秘密鍵のアクセス制限をかけている場合は、以下のように"tomcat"ユーザで参照できるように設定します。

...

 /etc/httpd/conf.d/ssl.conf を以下のように編集してください。(★) 

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

(省略)
SSLCertificateFile /etc/pki/tls/certs/server.crt            ← サーバ証明書の格納先
(省略)
SSLCertificateKeyFile /etc/pki/tls/private/server.key       ← 秘密鍵の格納先
(省略)
SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt ← 中間CA証明書の格納先
↑ 先頭の「#」を削除して、コメントを解除してください。

※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。

 詳しくは、サーバ証明書インストールマニュアルの Apache 2 + mod_ssl 編を参照してください。 

 

...

 

アンカー
metadata
metadata

  メタデータの作成と提出

...

 

 

・メタデータテンプレートは、初期設定で「/root/GETFILE」に取得したidp-metadata.xmlを使用します。rootのホームディレクトリに「"ドメインなしホスト名".xml」のファイル名でコピーします。
 例)1番を割り振られた場合
   ホスト名:ex-idp-test01.gakunin.nii.ac.jpとなり、ファイル名:ex-idp-test01.xmlです。
   以下のコマンドでファイルをコピーします。
   # cp /root/GETFILE/idp-metadata.xml /root/ex-idp-test01.xml
 コピー後、IdPメタデータテンプレートを参考に必要な項目を変更します。
 (証明書部分には、/opt/shibboleth-idp/credentials/server.crtの内容を使用します。)  
ヒント
title実習セミナー
展開
titleテストフェデレーションに登録する場合

学認申請システム(テストFed)から登録を行います。入力したデータから自動的にメタデータが生成されますのでメタデータ作成の必要はありません。詳細は参加のページをご覧ください。
参加

展開
title運用フェデレーションに登録する場合

学認申請システムから登録を行います。入力したデータから自動的にメタデータが生成されますのでメタデータ作成の必要はありません。詳細は参加のページをご覧ください。
参加

  

ヒント
title実習セミナー

・作成したメタデータは学認申請システムではなく、実習セミナー内のDSサーバに転送します。
 以下は、転送コマンドの例です。
 メタデータファイル名を各自のファイル名に変更して実行してください。
 例)ホスト名:ex-idp-test01.gakunin.nii.ac.jpの場合
 # scp /root/ex-idp-test01.xml uploader@ex-ds.gakunin.nii.ac.jp:METADATA
 転送したメタデータは、1分周期で他のメタデータとマージ処理を行い、実習セミナー内のフェデレーションメタデータが更新されます。
 ※1分周期で行う為、最大約1分登録までに時間がかかります。

  

...

 

アンカー
back-channel
back-channel

...

SAML 1のSPにも接続する場合は、IdPとの通信時にTLS接続を行うため、下記にしたがいBack-Channelの設定を行ってください。 このTLS接続ではポート8443を利用します。

ヒント
title実習セミナー

・実習セミナーではSAML 1のSPは対象としていないため以下の設定は不要です。

 

1.キーストアの設定

サーバ証明書を格納したキーストアを作成します。

...